Crear un clúster en AWS CloudHSM

Un clúster es un conjunto de módulos de seguridad de hardware individuales (HSMs). AWS CloudHSM sincroniza los HSMs de cada clúster para que funcionen como una unidad lógica. AWS CloudHSM ofrece dos tipos deHSMs: hsm1.medium y hsm2m.medium. Al crear un clúster, tiene que elegir cuál de los dos estará en él. Para obtener información detallada sobre las diferencias entre cada tipo de HSM y modo de clúster, consulte Modos de clúster del AWS CloudHSM.

Al crear un clúster, AWS CloudHSM crea un grupo de seguridad para el clúster en su nombre. Este grupo de seguridad controla el acceso de HSMs la red al clúster. Solo permite conexiones entrantes desde instancias de Amazon Elastic Compute Cloud (Amazon EC2) que estén en el grupo de seguridad. De forma predeterminada, el grupo de seguridad no contiene instancias. Posteriormente, debe lanzar una instancia de cliente y configurar el grupo de seguridad del clúster para permitir la comunicación y las conexiones con los HSM.

importante

Al crear un clúster, AWS CloudHSM crea un rol vinculado a un servicio denominado HSM. AWSService RoleForCloud Si AWS CloudHSM no puede crear el rol o el rol aún no existe, es posible que no pueda crear un clúster. Para obtener más información, consulte Resolución de errores AWS CloudHSM de creación de clústeres. Para obtener más información acerca de los roles vinculados a servicios, consulte Funciones vinculadas al servicio para AWS CloudHSM.

importante

Si utiliza el punto final de AWS CloudHSM doble pila (es decir, cloudhsmv2). region.api.aws), asegúrese de que sus políticas de IAM estén actualizadas para gestionarlas. IPv6 Para obtener más información, consulte la sección Actualizar las políticas de IAM a la sección Seguridad. IPv6

Puede crear un clúster a partir de la consola de AWS CloudHSM, la AWS Command Line Interface (AWS CLI) o la API de AWS CloudHSM .

nota

Para obtener más información sobre los argumentos del clúster APIs, consulte la referencia create-clusterde comandos de la CLI de AWS.

Console

Para crear un clúster (consola)

Abra la AWS CloudHSM consola en https://console.aws.amazon.com/cloudhsm/casa.
En la barra de navegación, usa el selector de regiones para elegir una de las AWS regiones compatibles AWS CloudHSM actualmente.
Elija Create cluster.
En la sección Cluster configuration, haga lo siguiente:
1. Para VPC, seleccione la VPC que ha creado en Cree una nube privada virtual (VPC) para AWS CloudHSM.
2. Para Zonas(s) de disponibilidad), junto a cada zona de disponibilidad, elija la subred privada que ha creado.
  
  nota
  Incluso si no AWS CloudHSM se admite en una zona de disponibilidad determinada, el rendimiento no debería verse afectado, ya que la carga AWS CloudHSM se equilibra automáticamente HSMs en todos los componentes de un clúster. Consulte AWS CloudHSM Regiones y puntos de enlace en la página Referencia general de AWSpara ver qué zonas de disponibilidad admiten. AWS CloudHSM
3. En el caso de tipo de HSM, seleccione el tipo de HSM que se podrá crear en su clúster junto con el modo deseado del clúster. Para ver qué tipos de HSM se admiten en cada región, consulte la calculadora de precios AWS CloudHSM.
  
  importante
  No se puede cambiar el modo del clúster una vez creado el clúster. Para obtener información sobre el tipo y el modo adecuados para su caso de uso, consulteModos de clúster del AWS CloudHSM.
4. En Tipo de red, elija los protocolos de direcciones IP para acceder a su HSMs. IPv4 limita la comunicación entre su aplicación y IPv4 únicamente HSMs a. Esta es la opción predeterminada. La doble pila permite ambas cosas IPv4 y la IPv6 comunicación. Para usar una pila doble, añada ambas opciones IPv4 IPv6 CIDRs a las configuraciones de VPC y subred. Es difícil cambiar el tipo de red después de la configuración inicial. Para modificarlo, cree una copia de seguridad del clúster existente y restaure uno nuevo con el tipo de red deseado. Para obtener más información, consulte Creación de clústeres de AWS CloudHSM a partir de copias de seguridad
5. En el caso de origen del clúster, especifique si desea crear un nuevo clúster o restaurar uno desde una copia de seguridad existente.
  - Las copias de seguridad de clústeres en modo no FIPS solo se pueden usar para restaurar los clústeres que están en modo no FIPS.
  - Las copias de seguridad de clústeres en modo FIPS solo se pueden usar para restaurar los clústeres que están en modo FIPS.
Elija Next (Siguiente).
Especifique durante cuánto tiempo el servicio debe retener las copias de seguridad.

nota
Acepte el período de retención predeterminado de 90 días o escriba un nuevo valor de entre 7 y 379 días. El servicio eliminará automáticamente las copias de seguridad de este clúster que sean anteriores al valor que especifique aquí. Puede cambiar este valor posteriormente. Para obtener más información, consulte Configurar la retención de copias de seguridad.
Elija Next (Siguiente).
(Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para agregar más de una etiqueta al clúster, elija Agregar etiqueta.
Elija Revisar.
Revise la configuración del clúster y, a continuación, elija Crear clúster.

Si sus intentos de crear un clúster fallan, podría estar relacionado con problemas con las funciones vinculadas al AWS CloudHSM servicio. Para ayudar a resolver el error, consulte Resolución de errores AWS CloudHSM de creación de clústeres.

AWS CLI

Pasos para crear un clúster (AWS CLI)

En el símbolo del sistema, ejecute el comando create-cluster. Especifique el tipo de instancia de HSM, el período de retención de la copia de seguridad y la subred IDs de las subredes en las que piensa crear. HSMs Use la subred IDs de las subredes privadas que creó. Especifique solo una subred por zona de disponibilidad.


$ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
                    --backup-retention-policy Type=DAYS,Value=<number of days> \
                    --subnet-ids <subnet ID> \
                    --mode <FIPS> \
                    --network-type <IPV4>

{
    "Cluster": {
        "BackupPolicy": "DEFAULT",
        "BackupRetentionPolicy": {
            "Type": "DAYS",
            "Value": 90
         },
        "VpcId": "vpc-50ae0636",
        "SubnetMapping": {
            "us-west-2b": "subnet-49a1bc00",
            "us-west-2c": "subnet-6f950334",
            "us-west-2a": "subnet-fd54af9b"
        },
        "SecurityGroup": "sg-6cb2c216",
        "HsmType": "hsm2m.medium",
        "NetworkType": "IPV4",
        "Certificates": {},
        "State": "CREATE_IN_PROGRESS",
        "Hsms": [],
        "ClusterId": "cluster-igklspoyj5v",
        "ClusterMode": "FIPS",
        "CreateTimestamp": 1502423370.069
    }
}

nota

ClusterMode es un parámetro obligatorio para todos los tipos de hsm excepto para hsm1.medium.--mode:


$ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID> \
				--mode NON_FIPS

AWS CloudHSM API

Para crear un clúster (API)AWS CloudHSM

Envíe una solicitud CreateCluster request. Especifique el tipo de instancia de HSM, la política de retención de copias de seguridad y la subred IDs de las subredes en las que piensa crear. HSMs Use la subred IDs de las subredes privadas que creó. Especifique solo una subred por zona de disponibilidad.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Creación de un VPC

Revisión del grupo de seguridad del clúster